我正在编写一个c#桌面应用程序,它调用IsDebuggerPresent,如果是我的应用程序,则退出。我在下面的文章中读到,防病毒程序将此功能作为恶意软件的指标:https://www.alienvault.com/open-threat-exchange/blog/your-malware-shall-not-fool-us-with-those-anti-analysis-tricks
这个功能会让我的应用程序被防病毒程序标记吗?
您的程序极不可能被标记。
这篇文章讨论的是调用的本机版本,该调用使用了一种极其非标准的调用方式来尝试避免检测,而不是托管版本。
然而,我怀疑你会在你的程序中发现这样做的任何好处,它根本不会阻止人们分析你的程序。人们可以在对IsDebuggerPresent的调用上设置一个断点,然后跳过if检查。当你试图解决代码中的问题时,添加此检查可能会让你自己更加头疼。
唯一知道的方法就是测试。我知道赛门铁克的企业版根本不介意托管版。
请注意,该调用不会促进系统上的病毒活动。这只会让病毒困扰AV实验室的分析师长达一天。没有理由在野外寻找它作为病毒的迹象。